Pragmatisch
Kwaliteit
Flexibel
Relevant

BLOG: Hoe zorg je ervoor dat leveranciers AVG-compliant zijn?

maandag 17 juni 2024

Organisaties vertrouwen steeds meer op externe partijen die diensten leveren. Het is van belang dat leveranciers die daarvoor persoonsgegevens verwerken ook voldoen aan de Algemene verordening gegevensbescherming (AVG). Whitney Naomi van den Brand, adviseur bij L2P, vertelt wat er nodig is om de AVG-naleving van je leveranciers te waarborgen.
Een organisatie die persoonsgegevens deelt met externe leveranciers blijft ook na de verstrekking verantwoordelijk voor de bescherming ervan. De Algemene verordening gegevensbescherming (AVG) vereist dat een organisatie passende maatregelen neemt om ervoor te zorgen dat de verwerking van de verstrekte persoonsgegevens door leveranciers voldoet aan de wet.

Stappen in effectief leveranciersbeheer

Effectief leveranciersbeheer vermindert de risico’s van privacy-inbreuken en is daarmee een voorwaarde voor AVG-compliance. Er zijn twee stappen te onderscheiden.

· Bij de selectie van nieuwe leveranciers is een grondige beoordeling van belang. Het zogenoemde due diligence
  proces geeft inzicht in de beveiligingsmaatregelen en het privacybeleid van de leverancier. Daarnaast verplicht de
  AVG (in artikel 28) elke organisatie om verwerkersovereenkomsten af te sluiten met leveranciers die de beschikking
  krijgen over persoonsgegevens. Een verwerkersovereenkomst legt de verantwoordelijkheden van de leverancier voor
  dataprotectie vast.

· Voor de beoordeling van bestaande leveranciers is het nodig om periodieke audits uit te voeren. De audits stellen de
  organisatie in staat om regelmatig te controleren of leveranciers nog steeds voldoen aan de AVG-vereisten.
  Daarnaast is het mogelijk om leveranciers te vragen naar zelfevaluaties en andere rapporten over de maatregelen
  die zij nemen om persoonsgegevens te beschermen.

Leveranciersmanagement als continu proces

Voor effectief leveranciersbeheer is het essentieel om steeds te monitoren hoe de dienstverleners en leveranciers die je inschakelt met de bescherming van persoonsgegevens omgaan.

· Het is belangrijk om heldere afspraken en procedures vast te leggen. Bijvoorbeeld over de manier waarop
  leveranciers een incident (zoals een datalek) melden en oplossen. Soms ontstaan problemen doordat de
  verantwoordelijkheden onduidelijk zijn, of de rolverdeling niet scherp is.

· Met een periodieke controle houd je zicht op de prestaties van leveranciers. Zo kan je tijdig eventuele
  tekortkomingen identificeren en (laten) oplossen.

· Veranderingen in de gegevensverwerkingen van een organisatie, of in de werkwijze van een dienstverlener, hebben
  soms implicaties voor de contractering. Door verwerkersovereenkomsten regelmatig te checken, zorg je dat de
  contracten up-to-date zijn.

Van dataprotectie naar reputatiemanagement

Aandacht voor de AVG-naleving door leveranciers draagt bij aan de bescherming van persoonsgegevens én aan de reputatie van de organisatie. De samenwerking met betrouwbare leveranciers en de investeringen in goed leveranciersbeheer verkleinen immers de risico's van non-compliance en privacy-inbreuken. Het is dan ook zeker de moeite waard om werk te maken van voortdurende verbetering en bewustwording van gegevensbescherming. Binnen je eigen organisatie én bij je leveranciers.

Meer weten over dataprotectie en leveranciersmanagement? Onze adviseurs denken met je mee.
Neem vrijblijvend contact met ons op om jullie vraagstuk te bespreken